检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
VirtualService中必须配置了Service的所有端口。 VirtualService中的协议类型必须和Service中端口协议类型一致。 VirtualService和DestinationRule中必须配置了默认的服务版本。 如果检查结果发生改变,可能Service的端口号或端口名称被修改。 修复指导
--调用链”启用调用链,选择“第三方Jaeger/Zipkin服务”,填写服务地址和服务端口,其他参数根据需要自行填写。 服务地址为步骤2中所创建服务的<服务名称>.<命名空间>.svc.cluster.local。 服务端口为步骤2创建负载均衡服务中填写的服务端口,本例中为9411。
入方向端口:可用于配置端口级别拦截规则,生效于网格服务的内部端口,以逗号分隔入站端口。 仅拦截指定端口表示访问网格服务指定端口范围内的请求将被重定向到sidecar中。 仅排除指定端口表示访问网格服务的请求,除端口范围外的请求将被重定向到sidecar中。 出方向端口:可用于配
什么是应用服务网格 什么是应用服务网格 华为云应用服务网格是一种高性能、高可靠性和易用性的全托管的服务网格,支持虚拟机、容器等多种基础设施,支持跨区域多集群服务的统一治理。以基础设施的方式为用户提供服务流量管理、服务运行监控、服务访问安全以及服务发布能力。 ASM控制面和数据面均
访问类型:选择集群内访问。 端口设置: 协议:TCP 容器端口:80(以实际访问端口为准) 服务端口:80(以实际访问端口为准) 单击右下角“确定”完成服务创建。 单击右下角“创建工作负载”完成工作负载创建。 在集群详情页选择左侧“服务”页签,可在服务列表中查看到所创建的httpbin服务。
关闭mtls以及访问授权,是用如下命名查看是否存在对应资源。 kubectl get PeerAuthentication -A kubectl get AuthorizationPolicy -A kubectl get RequestAuthentication -A 查看查询到的PeerAuthentication
简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。 多集群场景安装的时候,15012端口是暴露在公网的,受攻击影响的可能性大一些。 根本原因 15012端口接收的请求不需要认证信息即可被Istiod处理,在大量向Istiod该端口发送请求时会导致Istiod服务不可用。 受影响版本 低于1.13.1版本的Istio
关闭mtls以及访问授权,是用如下命名查看是否存在对应资源。 kubectl get PeerAuthentication -A kubectl get AuthorizationPolicy -A kubectl get RequestAuthentication -A 查看查询到的PeerAuthentication
入方向端口:可用于配置端口级别拦截规则,生效于网格服务的内部端口,以逗号分隔入站端口。 仅拦截指定端口表示访问网格服务指定端口范围内的请求将被重定向到sidecar中。 仅排除指定端口表示访问网格服务的请求,除端口范围外的请求将被重定向到sidecar中。 出方向端口:可用于配
Service是否支持跨集群访问 问题描述 服务支持跨集群访问,需要满足以下规则: 每个集群中必须有和此服务所在命名空间同名的命名空间。 每个集群中,同名命名空间下有同名同类型的服务。 每个同名服务中的labels、端口信息,以及selector中的内容完全相同。 除服务本身所在
Token。 准备工作 已创建一个1.13或1.15或1.18版本网格。 网格中有诊断通过的httpbin服务,镜像为httpbin,端口协议为http,端口号为80。 网格中已为httpbin服务创建可访问的网关。 创建JWT认证 创建JWK。 访问JWT工具网站,选择“Algori
开通ECS节点的安全组,允许7443端口的入流量,使其支持对Pod进行自动注入。 为该集群的default的命名空间打上inject=true标签。 查看Istio服务网格是否启用成功。 在应用服务网格控制台,单击左侧导航栏中的“网格管理”,如果网格状态为“运行中”表明启用Istio成功。 图9 Istio服务网格启用成功
登录CCE控制台,在工作负载所在行,单击操作列的“更多 > 编辑YAML”,查看是否配置了spec.template.spec.hostNetwork: true。如果是,请确认是否可将该字段删除或者配置为false,否则不允许注入sidecar。 检查网格实例数量是否已经超出限额。 如果实例总数已经超出 200
访问日志 服务网格提供了访问日志查询能力,可对网格中数据面所有Proxy的AccessLog进行采集。本文介绍如何查看采集的访问日志。 网格需已“启用访问日志”能力,如何开启请参考设置可观测性配置。 操作步骤 登录应用服务网格ASM控制台。 单击服务网格名称,进入服务网格详情页。
启用服务网格后,状态一直为安装中 问题描述 为CCE集群启用服务网格(即购买网格)后,网格状态一直显示为“安装中”,鼠标放上去提示“正在启用istio服务网格:开通用户安全组规则成功”。 问题定位 登录CCE控制台,进入对应集群详情页,在“资源 > 命名空间”中查看istio-system命名空间是否存在。
服务创建分版本管理、支持分版本进行监控 - √ √ 支持分版本进行服务负载管理 √ √ √ 服务多端口 支持管理多个端口的服务、支持管理多个端口多协议的服务 √ √ √ 灰度发布支持多端口 - √ √ 服务多形态 支持容器类型的服务后端 √ √ √ 协议及语言支持 HTTP协议灰度、
true;do wget -q -O- http://ip:port/productpage; done 返回控制台的“监测与处理”页面查看v1和v3版本的实时流量监控情况。 图12 流量监控详情 在“流量监控”页面,您可以查看Bookinfo应用各服务之间的实时拓扑。ASM提供的流
服务所属集群。 关联工作负载 该服务所属的工作负载,界面自动关联。 访问端口-->容器端口 容器端口:工作负载程序实际监听的端口,需用户确定。 访问端口:容器端口映射到集群虚拟IP上的端口,用虚拟IP访问工作负载时使用,端口范围为1-65535,可任意指定。 访问协议 请根据业务的协议类
sidecar注入失败常见场景和解决方案: 可能原因:网格管理实例数到达上限,无法继续注入。 检查方法:统计网格注入Pod总数是否已达上限。 登录应用服务网格ASM控制台,在网格列表页面查看您的网格卡片展示的实例个数是否达到网格规格。如果达到即网格注入Pod总数已达上限。 解决方案:联系运维工程师或提交工单处理。
tor等 (1.6企业版涉及)Istio 1.8及以上版本网格网关默认端口需要大于等于1024,整改方案如下: 针对gateway资源,将servers.port下的name和number改为大于1024的端口,如80改为1080。 apiVersion: networking.istio
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
